В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки «не сообщать кодов, паролей», оказалось недостаточно.
Вводные данные
- Счёт в ВТБ, основная сумма на накопительном счёте
- Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)
Хроника событий
- В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
- Диалог подробно описывать не буду, главные цели мошенников - удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 - вступать в диалог
- В 16:49 в мессенджер приходит ссылка формата online.vtb.ru/i/qrauth/..., при нажатии на неё открывается ВТБ Онлайн - всё как говорит "оператор". В ВТБ онлайн после перехода по ссылке появляется окно "Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера". Мама перешла по ссылке и подтвердила вход. Ошибка #2 - не прочитать весь текст в этом сообщении
- 17:06 - мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
- 17:09 - Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
- Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированы
Как это работает
- Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
- Домен ссылки является настоящим и опасений не вызывает - online.vtb.ru/i/qrauth/...
- Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код
Вопросы к ВТБ
- Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
- При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
- Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
- Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете
Выводы
- Установки "не сообщать коды и пароли по телефону" недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать и перезванивать самостоятельно
- Новые способы авторизации в личный кабинет несут в себе новые опасности
Будьте аккуратны. Для себя сделал вывод что пользоваться ВТБ как основным банком, пока система с QR остаётся в текущем виде - излишне рискованно, лучше вывести деньги в другой банк.
Хотелось бы услышать комментарии от представителей ВТБ. Я не первый кто выносит эту тему на обсуждение:
6
показов
50K
открытий
1
репост
В данном случае человек сам своими руками предоставил доступ к личному кабинету левым людям. Ни один банк на свете не сможет предотвратить потерю денег, если люди САМИ их отдают мошенникам.
Нужно тогда вообще всё отключить и выдавать деньги только в отделении, по отпечаткам, анализу роговицы и мочи, расшифровке ДНК и предварительной получасовой консультацией со специалистом, на тему того, «не просил ли кто вас снять деньги»? Плюс, обязательный двухчасовой просмотр документального фильма о методах мощенничества. И ведь даже в таком случае найдутся уникумы которые всё снимут и отдадут мошенникам! ))
Это нам с вами легко так говорить - но представьте что это случится с вашей мамой. Ей грозно скажут, что у неё списывают деньги прямо сейчас, что нужно срочно подтвердить свое устройство, скинут ссылку на авторизацию по qr коду. Думаете она поймёт что там написано и какое устройство она подтверждает? В панике то.
Так что да, тут хорошо бы, чтобы у банков были доп. опции позволяющие усложнить операции. Пусть в течении 24 часов после авторизации нового устройства например - каждая операция с него требует подтверждения на втором факторе, или ещё лучше - подтверждения перезвоном в банк.
Будет бы намного сложнее убедить бабушку позвонить со своего номера в банк и сказать - подтверждаю перевод всех моих денег на счёт такого-то, ведь она и там может сказать что ей попросили это сделать по звонку из банка или хотя бы задуматься что говорит и вся афера раскроется.
Моей маме 84 года, пенсия приходит на карту. Но личный кабинет у меня и привязан к симке, которая тоже у меня. Я ей даю только наличные для похода за продуктами, крупные покупки совершаю сама. Другого способа обезопасить ее от мошенников я не вижу.
Вот вроде и правильно, но и как-то унизительно. Если я такое матушке предложу, она со мной разговаривать наверное пару месяцев не будет. Почему принято пожилых считать умственноотсталыми?
я могу за пару минут придумать схему обмана тебя, ты сразу станешь умственно отсталым после этого?
обидчивая значит, и не ищите тут второе дно, тем более что у всех у кого есть желание разобраться в том в чём ещё не разбираются - есть такая возможность
Сами себе противоречите. Раз обмануть можно любого, то почему предлагаете контролировать только пенсионеров, прикрываясь заботой о них? Контролировать чужие деньги это не забота. Да и пенсионеры с их жизненным опытом поумнее большинства молодёжи будут.
ну да, взяли всё перевернули, такое ощущение что Вы не представляете как пожилые люди думают, ведут себя, реагируют
очень, очень много случаев когда даже осторожные и вроде бы шарящие люди отдавали деньги либо совершали неверные действия приводящие к херовым последствиям + переживания и проч.
и не обязательно в пожилом возрасте, что уж говорить о классических бабушках и дедушках, которые вообще привыкли к иному общению, порой просто к доверию, либо могут быть незащищены психологческие и поддаться на разную хуйню от оленей вроде на шоке совершать действия и спустя три дня - неделю понять